Valve admite que cometió un error al "rechazar" al investigador que informó sobre las vulnerabilidades de Steam

Inicio » Gaming

Icono de tiempo de lectura 2 minuto. leer

Icono de calendario Publicado el

by Clemaine de ceniza 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

válvula

Según Ars Technica, Valve ha admitido en un que rechazar a un investigador que descubrió dos vulnerabilidades separadas en el sistema de Steam fue "un error".

Aparentemente, el investigador informó los errores a través del programa de recompensas por errores HackerOne de Valve, pero su informe fue "clasificado como fuera del alcance" y fue rechazado. La compañía dice que la clasificación errónea del informe fue un error.

Puede leer la declaración completa de Valve sobre el tema a continuación:

También somos conscientes de que el investigador que descubrió los errores fue rechazado incorrectamente a través de nuestro programa de recompensas por errores HackerOne, donde su informe se clasificó como fuera del alcance. Esto fue un error.

Las reglas de nuestro programa HackerOne estaban destinadas únicamente a excluir los informes de que Steam recibió instrucciones para ejecutar malware previamente instalado en la máquina de un usuario como ese usuario local. En cambio, la mala interpretación de las reglas también condujo a la exclusión de un ataque más serio que también realizó una escalada de privilegios locales a través de Steam.

Hemos actualizado las reglas de nuestro programa HackerOne para indicar explícitamente que estos problemas están dentro del alcance y deben informarse. En los últimos dos años, hemos colaborado y recompensado a 263 investigadores de seguridad en la comunidad que nos ayudaron a identificar y corregir aproximadamente 500 problemas de seguridad, pagando más de $675,000 en recompensas. Esperamos continuar trabajando con la comunidad de seguridad para mejorar la seguridad de nuestros productos a través del programa HackerOne.

En cuanto a los investigadores específicos, estamos revisando los detalles de cada situación para determinar las acciones apropiadas. No vamos a discutir los detalles de cada situación o el estado de sus cuentas en este momento.

Ars Technica decir que la declaración se produjo solo dos días después de que se informara al investigador de seguridad Vasily Kravets que Valve ya no recibiría ningún informe de error presentado a través de HackerOne.

Valve rechazó los informes originales de Kravets sobre dos vulnerabilidades individuales de Steam que permitirían a los piratas informáticos acceder a sistemas previamente comprometidos y los consideró fuera de alcance.

El jueves, el mismo día en que se emitió la declaración de Valve, Kravets le dijo a Ars que "todavía no había recibido ninguna comunicación de Valve y que seguía bloqueado en la sección de informes de errores de Valve de HackerOne".

Más sobre los temas: de vapor, vulnerabilidades de vapor, válvula, Vasili Kravets

Clemaine de ceniza

Clemaine de ceniza Proteccion

Reportero de juegos

Ash cubre los juegos gratuitos y los nuevos lanzamientos de juegos de Epic Store. Si estás buscando algo para jugar, Ash lo tiene cubierto.

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *